FreeBSD：jenkins -- HTTP 存取伺服器以擷取主要密碼編譯金鑰 (3a65d33b-5950-11e2-b66b-00e0814cab4e)

high Nessus Plugin ID 63401

語系：

概要

遠端 FreeBSD 主機缺少安全性相關更新。

說明

Jenkins 安全性公告報告：

此公告宣布在 Jenkins 核心中所發現的一個安全性弱點。

然後攻擊者可利用此主要密碼編譯金鑰，針對 Jenkins 主機發動遠端程式碼執行攻擊，或模擬任意使用者進行 REST API 呼叫。

有數個因素可減輕其中可能適用於特定安裝的一些問題。

- 特定攻擊向量僅適用於有附加從屬的 Jenkins 執行個體，而且允許匿名讀取存取。

- Jenkins 允許使用者重新產生 API token。攻擊者無法模擬這些重新產生的 API token。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?0f8bc6d8

http://www.nessus.org/u?d9ac4ef7

Plugin 詳細資訊

嚴重性: High

ID: 63401

檔案名稱: freebsd_pkg_3a65d33b595011e2b66b00e0814cab4e.nasl

版本: 1.5

類型: local

系列: FreeBSD Local Security Checks

已發布: 2013/1/8

已更新: 2021/1/6

支援的感應器: Nessus

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:jenkins, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2013/1/8

弱點發布日期: 2013/1/4